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摘 要 : 针对 现 有 的 RFID 认证 协议 在 安全 认证 过 程 中 ， 由 于 协议 的 设计 的 缺陷 ， 导 致 的 协议 安全 性 不 足 的 问题 ， 
提出 了 一 种 利用 同步 化 随机 数 以 及 PUF 改进 的 轻 量 级 RFID 认证 协议 。 首 先 提 出 了 一 种 对 RFID 协议 的 去 同步 化 攻 
击 方法 ， 并 分 析 其 原因 ; 然后 通过 在 标签 和 读 写 器 两 端 设置 一 个 同步 化 随机 数 ， 增 强 协议 抗 去 同步 化 攻击 的 能 
最 后 ， 在 标签 中 引入 了 PUF， 通 过 PUF 的 不 可 克隆 性 提高 了 标签 密 钥 的 抗 攻击 能 力 。 分 析 结 果 表 明 ， 新 协议 能 有 效 
地 抵抗 多 种 攻击 ， 在 保证 一 定 效率 和 开销 的 同时 具有 更 高 的 安全 性 。 
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Lightweight RFID two-way authentication protocol with anti-synchronization attack 
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Abstract: In view of the existing RFID authentication protocol is insufficient in the security authentication process due to 
the flaws in the design of the protocol, this paper presented an improved lightweight RFID authentication protocol using 
synchronized random number and PUF. It first proposed a desynchronizing attack method on RFID protocols, and analyzed 
the reason.Then it enhanced the protocols ability to resist desynchronization attacks by setting a synchronized random 
number at both ends of the tag and reader.Finally, it introduced the PUF in the tag, used the PUF’s non-clonality to improve 
the tag’s anti-attack capability. The analysis results show that the new protocol can effectively resist multiple attacks, and it 
has higher security while ensuring certain efficiency and overhead. 
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0 引言 击 者 的 重 放 消 息 , 但 并 未 对 hash 函数 进行 优化 ， 导 致 标签 
算 成 本 过 高 。 文 献 [3] 提 出 了 一 种 基于 CRC 和 伪 随 机 数 发 4 

射频 识别 (radio frequency identification，RFID)， 又 称 ” 器 的 轻 量 级 协议 ,在 传输 信息 过 程 中 先 用 CRC 的 单 向 性 进行 
ie 别 ， 是 一 种 非 接触 式 识别 技术 ， 可 通过 无 线 电 讯 加 密 ， 然 后 第 一 条 message 的 高 位 与 令 一 条 message 的 低位 
i ne 0 昌 而 无 须 与 目标 物体 进行 物理 ”交叉 组 合 传送 。 但 是 标签 采用 了 伪 随 机 数 发 生 器 , 由 于 RFID 


己 接触 。REFID 已 被 广泛 应 用 于 许多 领域 ， 如 物流 、 军 事 、 交 “标签 计算 能 力 的 局 限 性 ， 协 议 效率 不 高 。 


ll 


mT 


r= 通 等 。 为 了 降低 标签 成 本 和 提高 效率 ， 在 最 早 的 一 批 超 轻 量 级 


RFID 通常 由 三 部 分 组 成 : 标签 、 读 写 器 和 后 端 数据 库 。 RFID 认证 协议 中 ,使 用 了 一 些 简 单 的 运算 函数 和 认证 步骤 ， 
后 端 数据 库 和 读 写 器 之 间 的 通信 信道 一 般 被 认为 是 安全 可 靠 提高 了 效率 但 降低 了 安全 性 。Chien 提出 的 SASI 协议 认证 过 
的 凹 。 读 写 器 和 标签 之 间 的 信道 由 于 采用 的 是 无 线 连 接 ， 缺 。” 程 中 加 入 了 Rot 移 位 运算 外, 但 是 文献 [5] 随 后 指出 了 对 SASI 
乏 保 护 非 常 脆弱 ， 容 易 遭 到 窃听 和 欺骗 。 随 着 RFID 技术 的 协议 的 Dos 攻击 和 标签 追踪 攻击 ;文献 [6] 在 SASI 的 基础 上 提 


发 展 ，RFID 的 安全 性 问题 得 到 了 越 来 越 多 的 重视 。 为 了 保 ”出 了 Gossamer 协议 , 协议 结构 基本 相似 , 在 后 面 的 密 钥 更 新 
障 RFID 的 安全 ， 设 计 一 个 安全 的 RFID 认证 协议 具有 重要 ”过 程 中 引入 了 MixBits 运算 ， 提 高 了 安全 性 ， 但 Zeeshan 在 
意义 。 文献 [7] 中 提出 了 对 该 协议 的 去 同步 化 攻击 以 及 其 他 安全 性 
RFID 标签 要 求 低 成 本 ， 所 以 计算 能 力 往往 不 强 ， 传 统 。 分 析 。 
的 公 钥 密 码 算 法 如 RSA 等 ， 不 适用 于 RFID 协议 。 所 以 如 何 Tian 等 人 在 2012 年 提出 了 一 个 超 轻 量 级 的 认证 协议 
设计 安全 性 高 的 、 低 成 本 的 、 高 效 的 轻 量 级 RFID 认证 协议 。 RAPP 四 ， 不 过 随后 Eyad 等 人 在 文献 [9] 中 指出 了 对 RAPP 协 
成 为 当下 研究 的 热点 之 一 。 议 的 一 种 抗 同步 攻击 方法 。 随 后 文献 [10] 对 RAPP 协议 进行 
保持 RFID 标签 的 轻 量 性 具有 重要 意义 。 文 献 [2,3] 将 传 。 了 改进 ， 提 出 了 一 种 PAPP 协议 ， 用 标签 中 的 加 密 算法 的 音 
统 的 密码 学 工具 应 用 于 RFID 协议 中 ， 虽 然 具 有 良好 的 安全 向 性 产生 随机 数 ， 防 止 去 同步 化 攻击 。 这 种 方法 相 比 与 一 般 
性 ， 但 并 未 考虑 到 标签 的 计算 力 。 文 献 [2] 提 出 了 一 种 基于 ”的 直接 加 随机 数 发 生 器 来 说 ， 共 用 了 标签 中 的 门 电路 ， 减 少 


N 


hash 函数 和 时 间 戳 的 认证 协议 ， 该 协议 采用 了 时 间 戳 防止 攻 了 标签 开销 。 
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于 文献 6319 的 协议 过 于 简单 而 存在 的 安全 性 问题 。 
在 文献 [11] 中 , Zhang 等 人 对 以 上 这 批 超 轻 量 的 认 订 
期 和 安全 强度 进行 了 详细 分 析 ， 结 果 发 现 这 些 世 
的 运算 都 比较 简单 ， 复 杂 度 低 ， 抗 攻击 能 力 弱 。 随 后 
一 种 基于 哈 希 类 函数 M-Hash 函数 的 认证 协议 MH 
M-Hash 函数 具有 硬件 资源 需求 低 ， 抗 碰撞 性 强 等 特性 
协议 中 Zhang 等 人 还 通过 减少 M-Hash 的 逻辑 操 


议 周 


MH 


E 协 议 的 协 
小 议 采 用 
是 出 了 
协议 ， 
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Reader Tag 


在 


作 位 ， 


来 提高 协议 的 效率 。Zhang 等 人 的 协议 实现 了 RFID 协议 安 


程 中 


全 性 与 效率 的 平衡 , 但 M-Hash 实现 所 需 的 门 


电路 


依然 较 多 。 


Yang 在 文献 [12] 提 出 了 一 种 新 的 轻 量 级 认证 协议 , 认证 过 


采用 了 CRC 和 交叉 位 运算 Cro。 该 协议 标签 的 计算 量 和 


通信 


单 的 


随机 数 和 物理 不 可 克隆 函数 (PUP) 在 该 协议 的 基础 上 进 
一 种 新 的 轻 量 级 认证 协议 。 旨 在 保持 协议 低 成 本 
有 更 高 的 安全 性 ,物理 不 可 克隆 函数 (PUF) 是 一 个 利用 物理 特 
征 把 输入 值 映射 到 应 答 值 的 函数 [中 。PUF 具有 不 可 克隆 1 
定 一 个 输入 ， 都 会 得 到 一 个 唯一 且 不 可 预测 的 输出 。 


提出 


每 给 


于 相 


1.1 


1.2 


一 种 


写 器 
此 时 


运算 更 新 密 钥 安全 性 不 高 。 


为 了 解决 文献 [12] 中 的 安全 性 问题 , 文章 结合 一 个 同步 化 


同 的 输入 ， 每 个 PUF 的 输出 都 不 同 。 
对 Yang 的 协议 的 分 析 
符号 描述 

ID: 标 签 真实 身份 标志 

TID?°A: 上 一 轮 标签 临时 身份 标 起 
77D" 扩 本 轮 的 标签 临时 身份 标 ; 
天 :标签 和 读 写 器 上 一 轮 共享 密 钥 ( 王 1.2) 
K :标签 和 读 写 器 本 轮 的 共享 密 钥 (i=1,2) 
Ni 读 写 器 生成 的 随机 数 (i=1,2) 

rx: 读 写 器 和 标签 初始 的 同步 化 随机 数 。 
A-E: 读 写 器 和 标签 之 间 的 交换 信息 

鲜 : 按 位 异 或 运算 

Cro(X, 站 :交叉 位 运算 
CRC-16(0): 循 环 校 验 函数 ， 加 密 邓 的 值 
(Gn, Gnt1):PUF 初始 验证 对 。 

PUF(X): 随 机 置换 函数 (通过 PUF 实现 )。 
Yang 的 协议 描述 


Gs 


S 


Bay 


行 改进 


量 非常 低 ， 非 常 适用 于 轻 量 级 RFID 系统 。 但 是 经 过 分 析 
协议 并 不 能 抵抗 去 同步 化 攻击 且 仅 仅 依靠 CRC 和 Cro 这 些 简 


的 同时 具 


Yang 的 协议 如 图 1 所 示 ， 下 面 给 出 对 于 Yang 的 协议 的 


去 同步 化 攻击 : 


a) 在 第 n 次 认证 的 时 候 ， 阻塞 认证 协议 第 @ 步 ,使 得 读 
更 新 了 密 钥 以 及 标签 的 临时 身份 TID 而 标签 没有 跟 新 。 
该 写 器 有 的 信 息 是 (TID™ ，77Dwo， AR (i=1,2,3),Kivu 


(i=1,2,3)), 标 签 有 的 言 息 为 (77D7w Kina(l=1,2,3))。 并 窃听 到 
第 n 次 认证 的 通信 消息 Hell0+"、4I|B8"、C+、D|IE+*。 此 时 


他 们 
标签 


此 时 


标签 


和 读 写 器 依然 能 相互 认证 。 


b) 在 第 x+1 次 认证 的 时 候 ， 再 次 阻塞 认证 协议 第 加 步 。 
该 号 器 拥 有 的 言 息 是 (TID" ， 了 77Dwo， Ke (i=1,2,3),Kivu 
(i=1,2,3)), 标 签 拥 有 的 信息 为 (TID;, Ki(i=1,2,3))。 


c) 重 放 第 一 步 中 听 到 的 消息 ， 首 先 读 写 器 向 标签 发 送 
Hellor", 标签 返回 他 的 7ZD， 再 按照 步骤 发 送 4lB 和 DI 给 
。 重 放 过 后 ， 标 签 中 的 信息 为 (TD , 有 各 (G=12.3))。 而 


此 时 


(i=1,2,3))， 则 标签 和 读 写 器 之 间 不 能 进行 验证 。 


器 认 


读 写 器 中 的 信息 为 (TID;%，TID%， Ki (=12.3),Kiow 


攻击 者 通过 上 述 步 又 能 使 被 攻击 过 后 的 标签 不 能 被 读 写 


证 ， 从 而 实现 了 对 协议 的 去 同步 化 攻击 。 


1.Hello- | 
长 2.TID 


3.A=CRC(Cro(K2KD)BNi 
B=CRC(Cro(K1® Ks,CRC(Ks®BNI))®Cro(Ks,CRC(K,@N1)) | 


4.C=CRC(Cro(CRC(K1®N1),CRC(NI®K2)®Cro(CRC(Ky®K3),CRC(N1@K3))) 


5.D=CRC(Cro(K;,K3)) BN; 
E=CRC(Cro(CRC(K1®NI),CRC(N2® K2))®Cro(CRC(Ks® N;),CRC(NI® Ka)) 


更 新 操作 : 更 新 操作 : 

1) 如果 收 到 TID” 1) 如 果 收 到 TID™ 
TID™*=CRC(Cro(TID"™,NI®N») BKIMBK "BK | TID™=CRC(Cro(TID™, NI®BN) BKI™ 
a 四 本 四 | 
KI"™™=CRC(Cro(K1",N) ®@K2"™") K1™=CRC(Cro(KI™,N)®@K2"™) 

K2" "=CRC(Cro(K2"™,N2) BK1™) K2™=CRC(Cro(K2™ ,N) BK1™) 
Ks"™=CRC(Cro(Ks3",NI®BN») BTID®™) Ka”™=CRC(Cro(Ka™ ,NI®BN2») BTID™) 


2) 如 果 收 到 TID"* 
TIDoa-TIDPw 


Kaod-Kaney 
TID™ =CRC(Cro(TID™,NIBN)®BKI" BK "OK 
de 
K2"™*=CRC(Cro(K2" ,NB KI"™) 
Ks"™™=CRC(Cro(K3",NI DN») ®TID"™) 
司 1 Yang 的 协议 
Fig. 1 Yang’s protocol 

Yang 的 协议 之 所 以 会 存在 该 问题 最 主要 的 原因 是 在 标 
签 没有 更 新 的 一 定时 间 段 内 ， 对 于 每 一 个 4、 消息 的 响应 
消息 都 是 一 样 的 。 这 种 情况 也 导致 了 可 以 对 其 进行 跟踪 攻击 。 
攻击 者 可 以 在 每 次 验证 时 阻 断 标签 密 钥 更 新 ， 随 后 通过 发 送 
之 前 一 样 的 消息 4、B 得 到 相同 的 回应 , 从 而 实现 跟踪 攻击 。 

一 般 对 于 这 种 安全 问题 的 改进 方法 通常 是 增加 一 个 随机 
数 发 生 器 ， 文 献 [14] 的 协议 也 存在 类 似 去 同步 化 问题 ， 文 献 
[15] 对 其 用 随机 数 发 生 器 进行 了 改进 ， 虽 然 利 用 加 密 算法 的 
一 部 分 产生 随机 数 ， 但 仍 有 一 定 的 计算 量 。 本 节 采 用 同步 化 
随机 数 和 物理 不 可 克隆 函数 PUF) 在 Yang 的 协议 的 基础 上 进 
行 改进 ， 提 出 了 一 种 新 的 轻 量 级 协议 。 


2 ”新 的 协议 


协议 的 符号 说 明 与 1.1 节 相同 。 新 协议 如 图 2 所 示 。 

协议 初始 阶段 读 写 器 中 持 有 相应 PUF 事先 生成 好 的 验 
证 对 (Gs，Gnn), 密 钥 Ki,K2, 同 步 随 机 数 rw。 标 签 中 持 有 
{ID,TID,K1, Ky,rn} 。 

协议 过 程 详细 描述 如 下 : 

(QHello: 读 写 器 向 标签 发 送 “Hello” 信 号 发 起 验证 ， 协 
议 认 证 过 程 开始 。 
@7TID: 标签 收 请 求 后 ， 将 自身 的 临时 身份 TID 发 给 读 
写 器 ， 读 写 器 将 此 TID 传 到 后 台 的 数据 库 中 进行 查找 ， 若 能 
够 找到 对 应 的 TID， 则 后 台数 据 库 将 与 之 相 匹 配 的 密 钥 Ki 发 
送 给 读 写 器 ， 标 签 和 读 写 器 开启 双向 认证 阶段 。 若 该 TID 在 
数据 库 中 不 存在 ， 则 认证 失败 ， 需 重新 开始 认证 。 

@4 和 B: 双 向 认证 阶段 中 , 读 写 器 产生 两 个 随机 数 Ni,N2， 
计算 4 和 B 发 送 给 标签 ,请 求 标签 通过 PUF 计算 进行 验证 。 
发 送 完成 后 读 写 器 计算 mri=CRC(0 四 NM)。 标 签 通过 密 铀 
Ku 提取 出 4 中 的 G 用 于 随后 的 PUF 计算 ,然后 用 Ki,K， 
Gn 计算 得 到 B 中 的 随机 数 Ni 。 

@R 和 C: 标 签 利 用 PUFO 函 数 和 读 写 器 发 过 来 的 G 和 计 
算 PUF(G) 得 到 Gn， 再 计算 Go=PUF(G,rD 和 mrli=CRCOnm 
@@ 和 1), 利用 密 钥 Ki,K2, Ni ratl, Gntl 和 Gntz 计 算 R 和 C 发送 
给 读 写 器 。 同样 , 读 写 器 先 从 R 中 得 到 标签 发 送 过 来 的 Gn+1， 
并 与 自己 的 Co 进行 比较 ， 若 相等 ， 则 读 写 器 对 标签 认证 成 
功 。 若 不 相等 ， 认 证 失败 。 
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ne ee 的 修改 ， 然 后 发 送 给 标签 ， 从 标签 的 响应 中 推出 协议 的 相关 

- 音 息 031]。 由 于 本 协议 中 每 个 步骤 都 是 加 密 的 或 随机 的 ， 所 用 

LHello | 的 Na 和 mbCrl ,Go 也 都 是 经 过 CRC 和 Cro 加 密 传输 ， 

k 2TID 且 在 读 写 器 和 标签 每 一 次 收 到 消息 时 ， 都 会 对 其 进行 验证 ， 

3.A=CRC(Cro(KsBKI,KI) BG 若 验证 失败 ? 协议 将 被 终止 o 所 以 当 攻击 者 试 图 修改 协议 中 

BR A RP a 的 任何 一 个 信息 时 ， 都 会 被 认证 发 现 ， 协 议 将 被 终止 ， 故 该 
4R=CRC(Cro(KsK1® GW) DG 协议 能 够 抵抗 信息 泄露 攻击 。 


fc-cRctcrocRces BPG),CRC( BK2)) BCro(CRC(KSBNI),CRC(Gn BKI))® Guns | 


3) 跟踪 攻击 


PE 协议 的 整个 过 程 中 都 是 使 用 标签 临时 的 TID 来 作为 标签 
| E=CRC(Cro(CRC(K1®G,2),CRC(N BKI)® Cro(CRC(Ks Br,),CRCN! er 站 的 身 份 标 志 ， 协 议 的 整 个 过 程 都 没有 标 签 真 冬 的 7 万 出 现 ， 
所 以 攻击 者 无 法 通过 截获 的 协议 内 容 得 到 标签 的 真实 身份 
人 ns JD， 从 而 无 法 对 ID 进行 跟踪 。 若 攻击 者 想 对 某 个 截获 的 标 
TID™=CRC(Cro(TID NI BNBG,) BKBK) | Ko 签 TID 进行 跟踪 ， 由 于 TID 每 轮 协议 完成 后 都 会 由 随机 数 
KCRC(Cro(KI ND) ® Ks Dra) Ki™=CRC(Cro(K1"N)® KI Bro) 、 上 一 也 
Ks™*=CRC(Cro(K2 NI®ON® Gn2) ©TID™) KsCRC(Cro(K2 "NONI® Go) ® NiN2 和 Gti 进行 更 新 ， 所 以 由 TID 对 标签 的 跟踪 攻击 也 无 
Tom mp 法 实现 。 故 该 协议 能 抵抗 跟踪 攻击 。 
1 Ceo BN Gu) BKM BOK) 42 克 隆 攻击 
-CRCCCIOKISNIOK en 对 于 克隆 攻击 , 本 协议 采用 了 物理 不 可 克隆 函数 PUF 产 
Es 生 的 验证 对 作为 标签 每 轮 认证 读 写 器 的 方法 。 由 于 PUF 的 不 
W2: toCRC(W BN) Gm =PUR(GN), GuorPUF(Gm) 可 克隆 特性 , 攻击 者 没 办 法 伪造 出 和 该 标签 中 PUF 一 模 一 样 
图 2 新 的 协议 的 PUF， 从 而 无 法 克隆 出 一 个 含有 合法 的 PUF 的 标签 。 故 本 
Fig.2 The new protocol 协议 能 够 抵抗 克隆 攻击 。 
认证 成 功 后 再 用 Ki,K2,， Ni,， ri，Gnmil 计算 得 到 C 中 的 5) 重 放 攻 击 
Gnt2，(Gnt1 ,Gnt2) 作 为 下 一 次 读 写 嚣 认证 和 标签 的 PUF 验证 每 当 一 轮 协议 运行 成 功 结束 时 ， 读 写 器 和 标签 中 的 密 钥 
对 ， 随 后 读 写 器 进行 密 钥 更 新 。 Ki， 同 步 化 随机 数 以 及 TID 等 都 会 改变 。 假 设 攻击 者 假 ; 
@D 和 E: 读 写 器 用 之 前 生成 的 随机 数 Ny 计算 D 和 EE 并 ” 读 写 器 对 标签 进行 重 放 攻 击 , 首先 重 放 第 一 步 的 Hello, 标签 


发 送 给 标签 ,标签 提取 DD 中 的 和 并 计算 E' 与 进行 比较 , 若 返回 更 新 后 的 TID， 在 重 放 第 三 步 的 消息 4,B, 然 而 经 过 了 上 
相等 ， 则 说 明 读 写 器 得 到 了 Guz 并 拥有 正确 的 mii， 标签 对 轮 的 更 新 后 ，4,8 中 的 密 钥 天 并 不 能 对 应 更 新 后 的 ID。 所 
读 写 器 认证 成 功 。 用 随机 数 Ni,N2 和 maubGorl ,Go 更 新 自己 以 即使 攻击 者 截取 上 一 轮 的 认证 信息 进行 重 放 ， 也 通过 不 了 
的 密 钥 ， 协 议 结束 。 若 不 相等 ， 则 认证 失败 且 不 更 新 密 钥 。 认证 。 故 该 协议 能 够 抵抗 重 放 攻击 。 


新 协议 通过 在 标签 和 读 写 器 中 同步 了 一 个 随机 数 使 得 协 6) 去 同步 化 攻击 
议 具 有 能 力 抵 抗 攻击 者 的 去 同步 化 攻击 ， 且 该 随机 数 不 需 要 改进 后 的 协议 能 抵抗 之 前 提 到 的 对 原 协 议 的 去 同步 化 攻 
标签 发 送 ， 减 少 了 通信 和 量 。 击 。 原 理 是 通过 在 标签 和 读 写 器 中 加 入 了 一 个 同步 化 随机 数 


PUF 的 使 用 增强 了 协议 的 安全 性 ， 在 协议 某 轮 中 即使 攻 mm。 读 写 器 每 次 第 三 步 请 求 标签 时 ， 读 写 器 都 会 计算 新 的 

击 者 通过 某 种 方式 得 到 (Gn，Gn+1)， 攻击 者 无 法 道 向 推导 r+1=CRC(rn@NN1)， 当 标签 接收 到 读 写 器 发 来 的 请 求 时 ,也 会 

出 之 前 使 用 的 认证 对 ， 以 及 推出 之 后 使 用 的 认证 对 。 使 标签 计算 一 个 同样 的 rmt1。 从 而 保障 了 第 四 步 的 信息 C 每 轮 都 不 
认证 相 比 于 之 前 的 CRC 更 新 的 密 钥 更 安全 。 一 样 ， 因 此 新 协议 具有 抗 该 种 去 同步 化 攻击 的 能 
WA 对 于 之 前 的 去 同步 化 攻击 在 新 协议 的 情况 下 : 

3 ”协议 的 安全 性 分 析 a) 同样 的 在 第 n 次 认证 的 时 候 ， 阻 塞 认证 协议 第 @@ 步 ， 

本 节 将 对 改进 后 的 协议 进行 安全 性 分 析 ， 有 具体 从 假冒 攻 ”使 得 读 写 器 更 新 了 密 钥 以 及 标签 的 临时 身份 TID 而 标签 没有 

击 、 信 息 泄 露 攻击 、 跟 踪 攻击 、 克 隆 攻击 、 重 放 攻 击 、 去 同 跟 新 。 此 时 读 写 器 拥有 的 信息 是 (TID”,, TID”%, Ki,(i=1,2)， 

步 化 攻击 、 后 向 安全 性 以 及 双向 认证 八 个 方面 说 明 改 进 后 的 。 ”Kid(i=1,2)，Gnt1，Gnt2, rmt1， 1D), 标签 拥有 的 信息 为 (TID’， 


协议 的 安全 性 。 说 明了 新 的 协议 能 抵抗 之 前 提 到 的 去 同步 化 。 Ki(i=1,2)，ID，rn+1)。 并 欠 听 到 他 们 第 n 次 认证 的 通信 消息 
攻击 的 原因 。 Hellox"、4lIB"、C"、Rn、DIIE*。 此 时 标签 和 读 写 器 依然 能 相互 
1) 假冒 攻击 认证 。 
段 冒 攻击 是 指 攻击 者 冒充 标签 或 读 写 器 进行 认证 ， 试 图 b) 在 第 ntl 次 认证 的 时 候 ， 再 次 阻塞 认证 协议 第 @ 步 。 


得 到 一 些 有 用 的 认证 信息 的 一 种 攻击 。 在 改进 后 的 协议 中 ， 此 时 读 写 器 拥有 的 信息 是 (TID;%。，TID%，Kiw (i=1,2)，Kiw 
无 论 协议 的 那 一 部 分 被 修改 ,标签 和 读 写 器 都 是 可 以 发 现 的 。 ” (i=1,2)，Gnt2，Gm3，rmt2，1D)， 标 签 拥有 的 信息 为 (TID%， 
为 为 KiNiN2, pa1 以 及 PUF 产生 的 认证 对 都 是 动态 变化 的 ， Kidi=1,2), ID, rnt?2). 

且 协 议 中 每 一 步 读 写 器 和 标签 都 能 进行 认证 ， 攻 击 者 没有 相 c) 重 放 第 一 步 中 听 到 的 消息 ， 首 先 读 写 器 向 标签 发 送 
应 的 K; 和 认证 对 无 法 假冒 标签 和 读 写 器 进行 完整 的 认证 。 攻 Hello"， 标 签 返回 他 的 T7D， 再 按照 步骤 发 送 4|lB"， 然 而 和 
击 者 通过 假冒 攻击 最 多 只 可 能 得 到 7Z7ZDP， 除 此 之 外 得 不 到 任 ”之 前 不 同 的 是 ， 标 签 的 应 答 消息 结合 了 标签 和 读 写 器 的 新 一 
可 有 价值 的 信息 。 而 7ZZD 只 是 一 个 临时 的 身份 标志 ， 并 且 每 。 轮 同步 化 随机 数 rai3， 攻 击 者 收 到 后 再 重 放 第 一 步 中 的 消息 
轮 认证 成 功 后 都 会 改变 ， 没 有 实际 意义 ， 故 该 协议 能 够 抵抗 。 DIlB* 时 ， 由 于 二 里 含有 的 是 前 两 轮 的 同步 化 随机 数 rs， 所 


T 


i 


段 冒 攻击 。 以 无 法 通过 验证 ， 读 写 器 认证 失败 ， 协 议 终止 。 从 而 阻止 了 
2) 信息 泄露 攻击 去 同步 化 攻击 。 
信息 泄露 攻击 是 指 攻击 者 对 来 自 读 写 器 的 消息 进行 特定 7) 前 向 后 向 安全 性 
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在 协议 的 认证 中 即使 攻击 者 通过 某 种 方式 获取 了 某 一 轮 5 ”结束语 
的 密 钥 K;，G,，Gnr1， 但 是 由 于 没有 时 刻 跟踪 标签 ， 标 签 和 Se 

读 写 器 进行 了 若干 次 认证 ， 更 新 了 之 前 的 K+，Gn，Gn+l 等 信 RFID 技术 自 出 现 以 来 ,一直 存在 许多 安全 问题 。 本 文 
息 。 一 段 时 间 后 ， 攻 击 者 之 前 得 到 的 密 钥 以 及 认证 对 将 无 法 对 Yang 的 提出 的 一 种 轻 量 级 RFID 的 协议 的 安全 性 的 不 足 进 
再 用 来 进行 验证 。 且 在 密 钥 更 新 过 程 中 ， 使 用 CRC、Cro 和 行 了 分 析 ， 并 用 物理 不 可 克隆 函数 (PUF) 改进 ， 提 出 
随机 数 NI、N2、riti 以 及 Go ,Go 计算 得 到 新 的 密 钥 , 使 得 。” 种 新 的 协议 。 经 过 分 析 ， 与 原来 的 协议 相 比 具有 更 高 的 安全 
攻击 者 无 法 从 本 次 获得 的 密 钥 推 出 之 后 的 密 钥 ， 保 证 了 协议 性， 在 保证 协议 效率 的 同时 能 抵抗 更 多 的 攻击 方法 、 满 足 更 
的 前 向 安全 性 。 多 的 安全 需求 。 综 上 所 述 ， 新 的 协议 具有 低 成 本 、 高 效率 、 
在 协议 的 整个 过 程 中 , 每 轮 协议 产生 的 随机 数 无 法 预测 ， 高 安全 性 等 特点 ， 非 常 适用 于 轻 量 级 RFID 系统 。 

保证 了 各 条 信息 每 轮 认 证 都 不 相同 ， 且 攻击 者 无 法 从 Gn+2 逆 参考 文献 : 
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